image

'Androidtelefoons versturen trackingcookies voordat gebruiker apps opent'

dinsdag 4 maart 2025, 12:00 door Redactie, 24 reacties

Androidtelefoons versturen tracking- en advertentiecookies en andere identifiers naar servers van Google voordat gebruikers zelfs hun eerste app geopend hebben. Dit gebeurt zonder toestemming van gebruikers en zonder de mogelijkheid van een opt-out, aldus Doug Leith, hoogleraar computersystemen van het Trinity College Dublin, op basis van eigen onderzoek (pdf).

De cookies en identifiers worden gedownload en verstuurd door Google Play Services, de Google Play store en andere vooraf geïnstalleerde Google-apps. Google vraagt hiervoor geen toestemming en laat ook niet weten waarom het dit doet, aldus Leith. Ook is het niet mogelijk voor gebruikers om zich hiervoor af te melden. "De meeste van deze data wordt opgeslagen wanneer het apparaat niets doet na een fabrieksreset en er geen Google-apps door de gebruiker zijn geopend", laat de hoogleraar weten.

"We weten allemaal dat toestemming is vereist voordat een website die we bezoeken advertentie- en trackingcookies mag plaatsen. Dezelfde EU "cookiewetgeving", de ePrivacy Verordening, geldt ook voor apps die op telefoons draaien. Cookies die door apps worden opgeslagen krijgen veel minder aandacht dan webcookies, voornamelijk omdat ze lastiger te detecteren zijn, en nader onderzoek naar ze had al lang moeten plaatsvinden", gaat Leith verder.

De hoogleraar merkt op dat Google Play Services en de Google Play Store op bijna elke Androidtelefoon vooraf geïnstalleerd zijn. "Dit onderzoek laat zien dat ze stilletjes advertentie- en andere trackingcookies op de telefoons van mensen plaatsen. Google vraagt hiervoor geen toestemming en er is geen manier om deze cookies te blokkeren."

De hoogleraar meldt in het rapport dat hij Google om een reactie heeft gevraagd. Het techbedrijf liet weten niet op de juridische aspecten te zullen reageren. Google liet ook niet weten of er fouten in het onderzoek zitten en reageerde niet op vragen over het aanpassen van de manier waarop Google-apps cookies opslaan. Google stelt in een verklaring tegenover The Register dat het zich niet in de juridische analyse van de hoogleraar kan vinden en dat het 'committed' is om zich aan privacywet- en regelgeving te houden.

Image

Reacties (24)
04-03-2025, 12:12 door Anoniem
Wen er maar aan.
04-03-2025, 12:41 door Anoniem
Interessant om de link naar The Register even te volgen en het iets uitgebreider te lezen. Google was helemaal niet gevraagd om op de juridische aspecten te reageren maar op fouten van de onderzoekers. Dat deden ze niet, ze spraken dus niet tegen dat ze die cookies plaatsen. En in een reactie aan The Register stellen ze dat het gaat om "Google technologies and tools that underpin how we bring helpful products and services to our users".

Ik vind het overkomen alsof ze, net als Facebook altijd al deed, Europese wetgeving niet interpreteren naar de letter maar naar wat ze er zelf in willen lezen om hun eigen belangen ruim baan te geven. Dat suggereert, samen met bijvoorbeeld Manifest V3 in Chrome, dat het "don't be evil" dat Google ooit als lijfspreuk had nu echt duidelijk is omgeslagen in "be evil".
04-03-2025, 13:09 door Anoniem
Het artikel wijst ook op de Android System SafetyCore die ongevraagd door je foto's heen gaat om pikante plaatjes te vlaggen. Op sommige telefoons is deze app te blokkeren of te verwijderen.

Ook irritant is dat telefoons komen met animaties van foto's van een jaar geleden onder het kopje "memories". Blijf met je tengels van mijn foto's af!
04-03-2025, 13:09 door Anoniem
De reactie van Google doet mij inderdaad afvragen hoe extreem invasief dit nu werkelijk is.
Of je op een server nu bijhoudt wie er iets download, of, dat je aan de client side bijhoudt wat er geïnstalleerd wordt.
De keuze uit die twee doet mij zomaar vermoeden dat dit statistisch onderzoek is naar schadelijke apps betreft.

Ik maak mij eerder zorgen over een Revolut app die microfoon permissie vereist
...of jou anders geen access tot jouw account geeft...
04-03-2025, 13:42 door Anoniem
Door Anoniem: Ik maak mij eerder zorgen over een Revolut app die microfoon permissie vereist
...of jou anders geen access tot jouw account geeft...
https://reports.exodus-privacy.eu.org/en/reports/com.revolut.revolut/latest volgens mij is toegang tot de microfoon nog niet eens zo'n groot probleem.

Daarom ook altijd een firewall gebruiken. Al geef je enkel de applicaties die je gebruikt toestemming (al het andere blokkeer je dus, hier heb je echt geen ict-achtergrond voor nodig) is dat al veel winst. Er is een fijne firewall van onze eigen bodem.
04-03-2025, 13:47 door Anoniem
Door Anoniem: De reactie van Google doet mij inderdaad afvragen hoe extreem invasief dit nu werkelijk is.
Of je op een server nu bijhoudt wie er iets download, of, dat je aan de client side bijhoudt wat er geïnstalleerd wordt.
De keuze uit die twee doet mij zomaar vermoeden dat dit statistisch onderzoek is naar schadelijke apps betreft.

Ik maak mij eerder zorgen over een Revolut app die microfoon permissie vereist
...of jou anders geen access tot jouw account geeft...
Hoe invasief het is maakt niks uit het mag in de huidige wetgeving niet.
Daarmee is enig argument ook klaar tot de wetgeving is aangepast.

Google weet dondersgoed dat ze momenteel geen poot hebben om op te staan juridisch. Daarom wordt er geen toelichting op dat gebied gegeven omdat het anders als bewijsvoering kan dienen later tegen hunzelf. Maar een zaak tegen Google gaat jaren in beslag weer nemen en daar banken ze op in hoop dat de wetgeving in tussen versoepelt raakt zodat het achteraf wel mag.

Om dit soort taktieken zou er een zero tolerance policy moeten worden ingevoerd.
eerste overtreding 2% jaarlijkse inkomsten in land van ovetreding met verdubbeling bij elke overtreding.
Dan houdt het vanzelf razendsnel op. Je mag zelf raden waarom dit nooit gaat gebeuren.
04-03-2025, 14:01 door Anoniem
Door Redactie: Ook is het niet mogelijk voor gebruikers om zich hiervoor af te melden.

TrackerControl (TC)
TrackerControl allows to monitor and control hidden data collection in apps

https://f-droid.org/en/packages/net.kollnig.missioncontrol.fdroid/

Om tracking te detecteren, combineert TrackerControl de kracht van de Disconnect blocklist, die door Mozilla Firefox wordt gebruikt, en van de interne blocklist van de Universiteit van Oxford, gemaakt op basis van het analyseren van ~2.000.000 apps. Daarnaast ondersteunt TrackerControl aangepaste blokkadelijsten en gebruikt het de handtekeningen van Exodus Privacy voor de analyse van trackerbibliotheken binnen app-code. Deze aanpak onthult de bedrijven achter tracking, maakt het mogelijk om tracking selectief te blokkeren, en de doeleinden van tracking bloot te leggen.

https://trackercontrol.org
04-03-2025, 14:06 door Anoniem
Door Anoniem:
Door Anoniem: Ik maak mij eerder zorgen over een Revolut app die microfoon permissie vereist
...of jou anders geen access tot jouw account geeft...
https://reports.exodus-privacy.eu.org/en/reports/com.revolut.revolut/latest volgens mij is toegang tot de microfoon nog niet eens zo'n groot probleem.

Daarom ook altijd een firewall gebruiken. Al geef je enkel de applicaties die je gebruikt toestemming (al het andere blokkeer je dus, hier heb je echt geen ict-achtergrond voor nodig) is dat al veel winst. Er is een fijne firewall van onze eigen bodem.

En welke firewall van eigen bodem is dat?
04-03-2025, 14:25 door Anoniem
Door Anoniem: Wen er maar aan.

Never!
04-03-2025, 16:31 door Anoniem
En nog steeds zijn er bestuurders in Europa die geloven dat als je iets op papier zet dan zulke grote bedrijven zich ook aan de afspraken houden. Al dat papier is een wassen neus.
04-03-2025, 16:35 door Anoniem
Door Anoniem:
Door Anoniem: Ik maak mij eerder zorgen over een Revolut app die microfoon permissie vereist
...of jou anders geen access tot jouw account geeft...
https://reports.exodus-privacy.eu.org/en/reports/com.revolut.revolut/latest volgens mij is toegang tot de microfoon nog niet eens zo'n groot probleem.

Daarom ook altijd een firewall gebruiken. Al geef je enkel de applicaties die je gebruikt toestemming (al het andere blokkeer je dus, hier heb je echt geen ict-achtergrond voor nodig) is dat al veel winst. Er is een fijne firewall van onze eigen bodem.
Firewall vergt IT kennis. Het aanzetten van een tool wil niet zeggen dat het goed zijn werk doet of blijft doen.
Heb je een standaard profiel aangemaakt? Wat sta je van wat toe qua UDP, TCP connecties en waarom gaat het verkeer mogelijk ineens over andere IP dan eerste allows? Heb je de IP reputaties en geschiedenis bekeken en of deze overeenkomen met wat de leverancier van een stuk software zegt?

Of vertrouw je blind erop dat het wel zijn werk doet en niet rare connecties toelaat of veilige blokkeert? Net als zo vele mensen doen met een malware scanner en bij enige infectie melding ook nog denken dat de cleanup functie wel genoeg is voor het oplossen van de malware problemen zonder een grondige audit. (it is not)

Wordt echt veel te makkelijk gedacht over IT door sommige mensen.
04-03-2025, 18:16 door Anoniem
Door Anoniem:
Door Redactie: Ook is het niet mogelijk voor gebruikers om zich hiervoor af te melden.

TrackerControl (TC)
TrackerControl allows to monitor and control hidden data collection in apps

https://f-droid.org/en/packages/net.kollnig.missioncontrol.fdroid/

Om tracking te detecteren, combineert TrackerControl de kracht van de Disconnect blocklist, die door Mozilla Firefox wordt gebruikt, en van de interne blocklist van de Universiteit van Oxford, gemaakt op basis van het analyseren van ~2.000.000 apps. Daarnaast ondersteunt TrackerControl aangepaste blokkadelijsten en gebruikt het de handtekeningen van Exodus Privacy voor de analyse van trackerbibliotheken binnen app-code. Deze aanpak onthult de bedrijven achter tracking, maakt het mogelijk om tracking selectief te blokkeren, en de doeleinden van tracking bloot te leggen.

https://trackercontrol.org
Heel goede app inderdaad, PCAPdroid is ook erg goed.
04-03-2025, 19:46 door Anoniem
Daarom heb ik geen smarthone. Ik ben inmiddels 65 jaar, heb nooit een smarthone gehad, en ben nu blij dat ik geen tracking devive in mijn broekzak heb.
04-03-2025, 19:52 door Anoniem
Cookies, Identifiers and Other Data That Google Silently Stores on Android Handsets


Name Type App Device/User ID
---------------------------------------------------------------------------------

DSID Advertising Analytics Cookie Google Play Services, v
Firebase Analytics

AdAttest Token Advertising Device ID Google Play Services v

Ad URLs Advert View/Click Tracking Google Play store v

ServerLogs Analytics Cookie, incl. adverts Google Play store v

Google Android ID Persistent Device Identifier Google Play Services, v
Google Play store

NID Cookie Google Play Services, v
Google Search, Gmail,
Google Messages,
Google Files

deviceKey Persistent Device Identifier Google Play Services v

Auth/Bearer Tokens User & Device Identifier Google Play Services v

auth tokens Device Identifier Google Firebase v

GCM ID Device Identifier Google Play Services v

Widevine Key Device Identifier Google Play Services, v
Google Chrome

Experiment Tokens A/B Testing Analytics Cookie Google Play Services ?

Server Tokens A/B Testing Cookie Google Play Services ?

App settings A/B Testing Google Play Services ?

---------------------------------------------------------------------------------
TABLE I: Some of the data stored on handset by Google Apps

https://www.scss.tcd.ie/Doug.Leith/
04-03-2025, 20:13 door Anoniem
Ik heb het Tip-formulier van de AP maar weer eens ingevuld: https://klachten.autoriteitpersoonsgegevens.nl/

Als meer mensen dat doen, is dat hopelijk aanleiding voor de beste mensen daar om dit uit te zoeken en er werk van te maken (en - forse - boetes op te leggen, als er idd sprake is van schending van de regels).
04-03-2025, 21:12 door Anoniem
Door Anoniem: PCAPdroid is ook erg goed.

PCAPdroid
No-root network monitor and traffic dump tool for Android devices

https://f-droid.org/en/packages/com.emanuelef.remote_capture/

PCAPdroid is een goede netwerk monitor voor gevorderden. TrackerControl is voor de beginner eenvoudiger in gebruik.
04-03-2025, 21:40 door Anoniem
Door Anoniem: Om tracking te detecteren, combineert TrackerControl de kracht van de Disconnect blocklist,

Disconnect
Freedom from tracking.

https://disconnect.me

Disconnect werd vijf dagen na de release in 2014 verbannen uit de Google Play Store. Google noemde het een 'schending' van hun voorwaarden, die ontwikkelaars verbieden "om apps te verspreiden die de diensten van derden verstoren of verstoren". Dit leverde echter kritiek op van partijen als de Electronic Frontier Foundation (en Disconnect zelf) die deze app als privacyvriendelijk zagen, en stelden dat de motivaties van Google vooral waren / zijn gebaseerd op het feit dat deze app zich bemoeit met op advertenties gebaseerde verdienmodellen, waaronder die van Google zelf

https://en.wikipedia.org/wiki/Disconnect_(software)
05-03-2025, 09:31 door Anoniem
Dank voor het noemen van de HTTP-Tracker-extensie,
(door de anoniem van gisteren om 14.01).

Tracken naast fingerprinten (Fingerprint Defender).
Is er ook iets voor in de browserconsole (Ctrl+Shift+I)?
om mee te analyseren?

Je wordt zowat uit je schoenen getrackt en gefingerprint en
het wordt steeds extremer ten behoeve van de "Big-Tech-smeer".

Men weet precies met welke browser (Brave 133) je iets bezoekt.
Dus 'multitor' ik weleens wat met Mullvad (via Onion-browserbutton).

Wanneer zal voor de eindgebruikers Total Surveillance compleet zijn opgetuigd?
Of is dit reeds zo en wordt het alleen aan het grote publiek nog niet uitgelegd?

Deel dus niets van hetgeen je al niet met de hele wereld en de gootsteen wenst te delen.
Want wat je niet deelt, kan je ook niet later in "your glorious behind" komen bijten.
05-03-2025, 11:45 door Anoniem
Door Anoniem: Dank voor het noemen van de HTTP-Tracker-extensie, (door de anoniem van gisteren om 14.01).

TrackerControl blokkeert alleen de bekende trackers die in het Android besturingssysteem of in apps zitten ingebouwd. Voor het blokkeren van HTTP-trackers of webbugs, die vaak in webpagina's zitten verborgen, hebt u daarnaast ook een privacyvriendelijke webbrowser nodig, zoals Brave of Mullvad, of een add-on zoals AdBlock Plus of uBlock Origin. Onder Firefox moet u onder de 'Privacy' instellingen de 'Verbeterde bescherming tegen volgen' op 'streng' instellen om dezelfde mate van blokkering te verkrijgen als met de uBlock Origin add-on. TrackerControl voor iOS is nog in ontwikkeling.

Top-tien van trackers onder Apple iOS / iPadOS

• SKAdNetwork (85.8% of apps)
• Google Firebase Analytics (57.2% of apps)
• Google CrashLytics (43.9% of apps)
• Facebook (19.2% of apps)
• Google AdMob (17.6% of apps)
• AppsFlyer (11.1% of apps)
• Adjust (9.0% of apps)
• Amplitude (7.1% of apps)
• AppLovin (MAX and SparkLabs) (5.2% of apps)
• MixPanel (5.1% of apps)

TrackerControl voor iOS
https://ios.trackercontrol.org
05-03-2025, 12:01 door Anoniem
05-03-2025, 12:32 door Anoniem
Door Anoniem:
Door Anoniem: Wen er maar aan.

Never!

On Tyranny (Over tirannie) van de historicus Timothy Snyder richt zich op het concept van tirannie in de context van de moderne politiek van de Verenigde Staten en analyseert wat Snyder "Amerika's wending naar autoritarisme" noemt. Hij legt uit dat "historie zich niet herhaalt, maar wel instrueert", hij analyseert de recente Europese geschiedenis om omstandigheden te identificeren die gevestigde democratieën in staat kunnen stellen om in dictaturen te veranderen. Het korte (126 pagina's) boek wordt gepresenteerd als een reeks van twintig instructies over hoe de opkomst van tirannie te bestrijden, zoals "Verdedig instellingen", "Onthoud beroepsethiek" en "Geloof in de waarheid".

https://en.wikipedia.org/wiki/On_Tyranny

Het is onlangs in het Nederlands vertaald: Over tirannie: Twintig lessen uit de twintigste eeuw (Uitgeverij Balans, 2024)
06-03-2025, 06:47 door Anoniem
Adguard werkt prima
06-03-2025, 09:44 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Ik maak mij eerder zorgen over een Revolut app die microfoon permissie vereist
...of jou anders geen access tot jouw account geeft...
https://reports.exodus-privacy.eu.org/en/reports/com.revolut.revolut/latest volgens mij is toegang tot de microfoon nog niet eens zo'n groot probleem.

Daarom ook altijd een firewall gebruiken. Al geef je enkel de applicaties die je gebruikt toestemming (al het andere blokkeer je dus, hier heb je echt geen ict-achtergrond voor nodig) is dat al veel winst. Er is een fijne firewall van onze eigen bodem.

En welke firewall van eigen bodem is dat?

De ontwikkeling van TrackerControl werd geleid door Konrad Kollnig (Universiteit van Oxford). De onderliggende netwerk- en analyse functionaliteit daarvan wordt verzorgd door de NetGuard Firewall, ontwikkeld door Marcel Bokhorst (M66B), van FairCode B.V. gevestigd te Dordrecht, ook bekend van FairEmail, een privacyvriendelijke e-mail app voor Android.

NetGuard
The first free and open source no-root firewall for Android

https://f-droid.org/en/packages/eu.faircode.netguard/
06-03-2025, 10:04 door Anoniem
Door Anoniem:Top-tien van trackers onder Apple iOS / iPadOS

Apple iPhone verstuurt trackingcookies voordat gebruiker apps opent :(
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.